Zur systematischen Bewertung von IT-Sicherheitsvorfällen in Kommunalverwaltungen ist die Einschätzung des Auswirkungsgrads ein zentrales Element. Die folgende Aufstellung orientiert sich am Vorgehen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und wurde für den kommunalen Kontext angepasst.

Auswirkungsgrad: Gering

Ein lokaler und begrenzter Vorfall mit keinen oder sehr geringen Auswirkungen auf den Dienstbetrieb. Die Daten bleiben intakt und Vertraulichkeit/Verfügbarkeit/Integrität sind nicht beeinträchtigt.

Beispiele:

  • Kurzzeitiger Ausfall eines Einzel-PCs
  • Einzelner PC durch veraltete Software verwundbar, aber keine Ausnutzung erfolgt
  • E-Mail mit Malware-Anhang oder Phishing-E-Mail wird erkannt und gelöscht
  • Keine Daten betroffen
  • Kurzzeitiger Ausfall eines Druckers im Bürgerbüro

Auswirkungsgrad: Mittel

Der Vorfall wirkt sich auf mehrere Arbeitsplätze oder ein einzelnes Fachverfahren aus. Der Dienstbetrieb ist eingeschränkt, es entstehen Verzögerungen, aber keine kritischen Ausfälle.

Beispiele:

  • Ausfall eines Fachverfahrens über mehrere Stunden
  • Malwareinfektion im Fachbereich Soziales, aber schnelle Eindämmung
  • Webformular für Anträge ist stundenweise nicht verfügbar
  • Datenintegrität eines GIS-Systems kurzzeitig gefährdet

Auswirkungsgrad: Hoch

Der Vorfall betrifft kritische Prozesse oder Systeme mit hohem Schutzbedarf. Es kommt zu längeren Ausfällen, personenbezogene Daten sind betroffen, Meldepflichten werden wahrscheinlich ausgelöst. Auch Reputationsschäden sind möglich.

Beispiele:

  • Ransomware befällt zentrale Server und legt Sozial- und Jugendamtsdaten lahm
  • Abfluss von Sozial- oder Gesundheitsdaten
  • Längerer Ausfall des Bürgerbüros
  • Datenleck mit personenbezogenen Daten von Bürger:innen
  • IT-Ausfall im Wahlamt kurz vor der Wahl

Auswirkungsgrad: Sehr hoch

Die gesamte Verwaltung oder zentrale Infrastrukturen sind betroffen. Es liegt ein Krisenfall vor, ggf. mit medienwirksamer Außenwirkung oder politischer Relevanz. Ein Notbetrieb ist erforderlich.

Beispiele:

  • Kompletter Ausfall des Netzwerks der Kommunalverwaltung inkl. E-Mail-Server und Fachanwendungen
  • Erpresserischer Angriff mit Veröffentlichung sensibler Daten
  • Angreifer verschaffen sich Adminrechte auf Kernsystemen